跨站点ajax请求与普通表单帖子有何不同?
跨站点ajax请求与普通表单帖子有何不同?
提问于 2015-07-19 23:37:05
我一直在开发一个ajax支持的网站,当然也遇到了使用ajax进行跨站点请求时遇到的问题(我正在执行登录,因此我需要发布到API的端点)。我已经阅读了CORS和如何响应请求,以便允许这一点。
我的问题是:这个ajax请求如何更不安全和正常(例如,来自表单) POST请求?
这个ajax请求是否使用与普通请求相同的路由、HTTP方法等?它的输入不需要像任何请求一样被验证吗?
如果我记得正确,如果我创建一个正常的形式,并将该操作设置为另一个网站,它将工作。这不就是ajax帖子所做的吗?
谢谢
回答 1
Stack Overflow用户
回答已采纳
发布于 2015-07-20 00:18:37
当您从表单中发帖时,您的网页将始终被重定向到该帖子返回的任何内容,并且用户将知道正在执行的操作。
AJAX请求永远不会更改您的网页(除非您是编程的),所以如果您可以向另一个域发出AJAX请求,用户就永远不会注意到网页中的脚本正在访问其他域。
CORS的存在是因为同一原产地政策
防止一个页面上的恶意脚本通过该页的文档对象模型访问另一个网页上的敏感数据。 这种机制对于广泛依赖HTTP来维护经过身份验证的用户会话的现代web应用程序具有特殊的意义。
如果您可以使用ajax向任何站点发出POST请求,那么您可以在没有用户注意到的情况下修改任何站点中的任何设置。那将是一个安全问题。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/31507068
复制相关文章
相似问题
腾讯云开发者
